2014年07月05日
インターネットバンキング被害補償指針と中小企業の情報セキュリティ
しかしながら、中堅企業や中小企業のセキュリティレベルは、家庭用PCで詳しい人のレベルを下回っていることが少なくない。セキュリティ対策など二の次になってしまっている企業が多いように思う。今後は、セキュリティの金純が低ければ、自社の資金繰りに影響しかねない事態となり、銀行に補償を求めても、その対応が難しい場合も発生しかねない。セキュリティは企業の事業継続を議論する上で、大事な問題となってくることは明らかです。少なくとも最低限のセキュリティはキャッチアップするようにならなければなりません。
全銀協の指針公表後に別途内容を紹介していきたいと思います。
2014年04月12日
セキュリティ意識の低さとマイナンバー制度実施の危険
しかしながら、マイナンバー制度を支えるシステムの安全性を完全に守ることはできるのであろうか。完全に防げないにしても今のセキュリティに対する意識レベルで大丈夫なのかはかなり不安を覚える。
もちろん昨今のセキュリティやバグの事故のすべてがリスクとして関係があるわけではないが、昨今Heartbleedの問題が発生し、カナダでは確定申告のシステムが停止する事態にまで発展しており、セキュリティやシステム上の致命的バグの問題は、完全にネットワークにつながらうシステムの安全を完全に保障することができないことを改めて痛感させた。
さらに、これだけではない、ソフト面の技術的な問題だけではなく、古いOSを搭載したままのハードウェアの問題も発生している。
今般WindowsXPの期限切れのパソコンの問題に地方自体の26万件(全体の13%)のPC端末が対応できておらず、総務省が利用の停止要請をしたとの報道がなされた。
このような状況で、年金等の社会保障、税務上の問題を預金口座等個人の資産につながる情報に紐づけて、行政に管理できるようにしてしまっていいのでしょうか。マイナンバー制度による行政の効率化の良い側面を否定するものではありませんが、本当に国民の財産やの安全が確保できるのでしょうか。このシステムが停止し、従来アナログベースで対応していた人員が削減され、全く対応できない事態が発生すれば、コスト削減効果など一瞬にして吹き飛ぶと思います。
開発を落札したベンダー連合及び工程管理業者はよりセキュリティに高度な配慮を行った慎重な開発を意識してもらいたいですし、マイナンバー制度の運用の現場に含まれる地方自治体の現場レベルでも、サポートsが終了したOSの更新ができないことは発生しないように肝に銘じて貰いたいところです。
2010年06月14日
個人情報漏えいリスク対応
一旦情報が流通してしまうと情報を簡単に回収できるわけではありません。十分注意して対応しなければなりません。過去の事例においても、情報の回収に非常に困難を極めたものも多く存在します。適切に対応して2次被害を最小限にとどめなければなりません。情報漏えい事故においても対応のノウハウというものがあるのです。
御相談、顧問弁護士のご依頼、お問い合わせはこちら
2010年06月01日
Twitter なりすまし削除方法
2010年01月07日
ガンブラー感染脅威拡大阻止のための注意喚起
御相談、顧問弁護士のご依頼、お問い合わせはこちら
2009年12月26日
狙われるリスクに備えるべきソーシャルメディア利用者の意識改革
twitter,facebook,Linkedinなどソーシャルメディアの利用者が拡大していることは今に始まったことではない。一定のブランド力のあるメディアにおいては、その登録者層の資産規模も大きくなっていることから、そのようなメディアが特にスパムの発信源となると警告する情報セキュリティの研究者もいる。
便利なのは良いのだが、運営会社のセキュリティのみならず、ユーザー側の個人情報やカードなどの資産に直結する情報についての管理の意識を高める必要がある。法律での被害回復が困難な分野も含まれていることから、このような予防意識を高めないと思わぬ落とし穴にはまってしまうかもしれません。
御相談、顧問弁護士のご依頼、お問い合わせはこちら
2009年12月10日
クラウドコンピューティングの悪用、「クラウド」が攻撃元に・・・。
御相談、顧問弁護士のご依頼、お問い合わせはこちら
2009年11月06日
iphone乗っ取り事件、ミクシィSNS漏えい事件
オランダで、ポートスキャンを使い、ロックを解除されたiPhoneを探し出してハッキングした事件が発生したとの報道があり、注意喚起がなされている【ITmediaの記事】。iphone自体は便利なツールではあるが、利用する際の説明がやや不十分であるためセキュリティ対策の設定がおろそかになっているケースも多いと思います。常日頃から各事例の対策等の情報を入手しておくことも必要と思います。
一方で、システムの問題から、情報が漏洩してしまうミクシィの人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたこが明らかになったとの報道もなされました。
両事例のように、第三者にアプリを開発させるようなインフラは、ソフト・コンテンツを多くのユーザーに一気に提供する画期的な役割を果たし、これまでも多くのベンチャーなども参加しており、魅力的なマーケットであるのですが、一方で、多くのユーザが利用するサービスにおいて、それを悪用するインセンティブが生じてしまうことも事実です。せっかくの成功しているインフラにおいて、ソフト・コンテンツの提供者の参加ルールの基準に関しても議論が必要なのかもしれません。
御相談、顧問弁護士のご依頼、お問い合わせはこちら
2009年08月26日
総務省、携帯電話から得られるライフログの規制?
携帯電話の閲覧履歴や位置情報等から得られるいわゆるライフログに関し、総務省がガイドラインの策定を検討するとの報道(ITmediaさんの記事)がなされているようです。ライフログは、携帯電話に限らず、例えば電子マネーやスイカ等のカードなどでも入手することがビジネス上は可能ですし、ネット上のショッピングモールなどでも閲覧履歴、購入履歴等からライフログに近い情報は入手できると思いますが、携帯電話だけを規制するのか、この様な情報をもとにレコメンデーション広告等のモデルも既に存在するのでしょうから、どのようにバランスを図るのか注目したいとことです。
ただ、個人が特定できる情報とともにライフログがともに流出すると非常に怖い問題であることは間違いありませんので、議論しなければならない問題であることは間違いありません。
御相談、顧問弁護士のご依頼、お問い合わせはこちら
個人情報漏洩とその代償
個人情報漏洩事故に関し、某企業で漏えい被害にあわれた方への補償対策が公表されるなど、ニュース報道でも話題になっています。しかし、昨今は従業員や外注先の持ち出しという手口以外に、中国のサーバからの不正アクセスという手口での漏えいが無視できない存在となっています。セキュリティの甘い企業や外注先を狙った不正アクセスなど手口も巧妙化しているようです。ウェブサイトでの消費財販売でクレジット決済をする場合は、悩ましい問題の1つと言えるかもしれません。
個人情報の漏洩は、起こってしまうとその規模によっては企業に多大なる損害を与えてしまう問題であり、漏えい保険での担保、自社のみの情報セキュリティ対策は当然ですが、データーセンター等の外注先への外注範囲、当該外注先との契約での逸失利益の保証はどうなっているか、販売代理店先のセキュリティ対策、指導は十分かなど、様々なリスク要因があるのです。
特に、対策費用の捻出が難しい中小企業やベンチャーなどでは、ECサイト等の運営上、その危険性を認識しなければなりません。
御相談、顧問弁護士のご依頼、お問い合わせはこちら
2009年07月16日
SSL対応サイトであっても安心ではない場合も?
2009年06月29日
某証券会社の個人情報流出から学ぶもの
つい先日、元システム部長代理が名簿を売却して、個人情報を流出させた事件がありましたが、システムにかかわる責任者に準じるものがこのような行為を行っていたことや、IDパスワードの管理の不徹底が遠因となっており、従業員への継続的教育や、情報アクセスに係る監視体制の重要性を改めて痛感します。IDパスワードの管理については、社員の異動があるたびに適切に管理する必要がありますし、責任者に対しても任せきりにするのではなく定期的なダブルチェック等の管理体制は必要不可決と思います。
また、流出事故が起きた時に企業が支払う代償は計り知れないものがあり、名簿業者の購入代金であるたった32万円程度の報酬のために、流出行為を行った従業員は、職も失うのみならず、得た利益の数万倍の法的制裁を受ける可能性のある行為を行ったことになるのです。名簿の売却という行為は、会社にとっても、従業員にとっても百害あって一利なしの行為であることは言わざるを得ません。
御相談、顧問弁護士のご依頼、お問い合わせはこちら
2009年06月19日
経産省、情報セキュリティセミナー開催
【情報セキュリティ対策マネジメントコース入門編】
主な対象 中小企業の経営者や管理者で、情報セキュリティ対策の必要性は感じているが、まず何をすべきか分からないという方
概要 重要な情報の保管・持出し・廃棄、ウイルス対策、パソコンやメールを利用する上での注意点、従業者や取引先での機密保持など、中小企業が入門レベルとして最初に取り組むべき情報セキュリティ対策について、「 5分でできる!中小企業のための情報セキュリティ自社診断」(http://www.ipa.go.jp/security/manager/know/sme-guide/index.html)にある 25個のチェックポイントを紹介しながら解説する。
【情報セキュリティ対策マネジメントコース実践編】
主な対象 企業における管理面からの情報セキュリティ対策に関し、具体的な事故事例から対策のポイントについての理解を深めたい方
概要 情報セキュリティに対する組織的・物理的対策等の管理的取組について、それぞれ事故事例を踏まえ、事故発生の原因、危険要因を分析し、行うべき対策例や対策のポイントを解説する。事故事例には、社員の情報持ち出し、私物 PCの利用による情報漏えい、委託先からの情報漏えいなど、発生しがちな事故を例示し、シナリオベースのケーススタディを行う。
【情報セキュリティ対策技術コース標準編】
主な対象 企業における情報セキュリティ脅威、および技術面からの対策に関して理解を深めたい方
概要 近年の情報セキュリティ脅威は「見えない化」が進み、その全貌が分かりにくくなりつつある。さらに、日々新たな攻撃手法が出現しているのが実情であり、適切な対策のためには“敵を知る”ことが大前提となる。本コースでは、セキュリティ事故防止の視点から、最近の重大な情報セキュリティ脅威の動向と事例を紹介しつつ、それぞれの技術的対策のポイントについて解説する。
【情報セキュリティ対策技術コース専門編】
主な対象 ウェブサイトの開発・運営や、システムの運用に関わっている方で、生じうるセキュリティ上の問題およびその対応方法について理解を深めたい方
概要 企業がウェブサイトを構築する際、開発するウェブアプリケーションにおいて必要なセキュリティ対策について、デモを交えて解説する。また、情報システムの運用時に、セキュリティ事故が発生した際、技術的な調査、および対応の方法を、ケーススタディを通じて解説する。
御相談、顧問弁護士のご依頼、お問い合わせはこちら
2008年06月01日
DDOS攻撃を利用した悪質な恐喝行為
株式会社ラックは、4月後半から企業のWebサイトを狙ったDDoS(大規模サービス障害)攻撃をともなった恐喝行為について相談がよせられているとして注意喚起をしています。、 攻撃の手口は、Webページの閲覧を困難にするためWebサーバにDDoS攻撃を行い、攻撃を止める代わりに特定の口座へ現金を振込むように電子メールで要求するもののようです。まずは、都道府県警察本部のサイバー犯罪相談窓口ならびに利用中の回線設備を提供するISPに相談するなどの対策が急務です。なお、同社の注意喚起ページはこちらです。
いつもご愛読いただきありがとうございます。ブログランキングに登録しておりますので下記アイコンをクリックいただけると幸いです。よろしくお願い申し上げます。
2008年05月28日
(独)情報処理推進機構 情報セキュリティ白書で脅威の見えない化を警告
IPAは、情報セキュリティ白書2008 第II部の 「10大脅威 ますます進む『見えない化』」の抜粋を公表し、警告を発しています。この抜粋は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基にまとめられた資料とのことです。
IPAによれば、利用者が攻撃者の仕掛けた罠に誘導される形(誘導型)の攻撃の脅威が増え、また、クロスサイト・スクリプティングやSQLインジェクションなどのウェブサイトの脆弱性を狙った攻撃も広まっており、利用者はソフトウェアを常に最新の状態にしておくことが必要となってきています。また、ウェブサイトの運営者や開発者等においては「安全なウェブサイトの作り方」2008年3月版などの資料を参考に安全性向上に取り組むなどの対策が必要となってきています。
本内容の詳細はIPAのサイトをご確認ください。
いつもご愛読いただきありがとうございます。ブログランキングに登録しておりますので下記アイコンをクリックいただけると幸いです。よろしくお願い申し上げます。
2008年02月17日
中小企業庁、情報セキュリティ啓発のための動画コンテンツ公表
また、専門家に規定作りを依頼するだけでは不十分で、社内の業務フローなどからリスク要因を銃bんに分析した上で、実現可能なルール作りから始めなければいけません。
いつもご愛読いただきありがとうございます。各種ブログランキングに登録しておりますので下記アイコンをクリックいただけると幸いです。よろしくお願い申し上げます。